-
-
[原创]Ntoskrnl_Viewer X64:可在非测试模式下符号化浏览内核内存
-
发表于: 2022-8-28 19:00
-
1.驱动模块(编译后的驱动需要和EXE放在同一文件夹)
2.用户模块
3.成品模块(驱动已签名)
可在不开启测试模式和WinDbg本地调试的情况下,以符号化的形式浏览本地内存!
不管是否为导出函数、未导出函数、系统内核变量、标志,只要在PDB文件中的符号,都能浏览其内存。
只支持X64系统,理论上支持任何版本(只要微软公开了此版本的PDB)
(也可使用 l? 指定输出的个数,最大限度100 例: dq KeServiceDescriptorTable l4 效果如上图1)
不然驱动无法正常卸载!
以后可能会更新 “eb、ew、ed、eq”命令。
The commands "EB, EW, ED, EQ" may be updated later.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-8-31 21:57
被icey_编辑
,原因: 更新
|
|
|---|---|
|
|
|
|
|
你好,单功能而言,确实没有livekd如此全能。但是livekd的运行需要依靠windbg或kd的组件,还需要配置环境,我这个小项目不需要,直接运行就能用。 我这个小项目针对性比较强,就是为了能更方便快捷的查看Ntoskrnl的内存。开源,代码量少,原理简单,能和其他项目更好的结合。(缺点也能被我说成优点来  )
|
|
|
你说livekd需要配置环境指什么,设置_NT_SYMBOL_PATH环境变量或PATH环境变量? livekd.exe -k kd.exe 需要kd.exe在场到是没错。不过一般都要看内核了,windbg不在场怕是很罕见。 |
|
|
|
|
|
不是bug,因为livekd是dump的 |
|
|
|
